Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän 21. VAHTI-päivä 14.12.2018 Väestörekisterikeskus AJANKOHTAISTA TIETOSUOJASSA Tietosuojavaltuutettu Reijo Aarnio
EDUSKUNNASSA: U 98 / 2018 U 98 / 2018 HE 60 / 2018 TERRORISMIN LEVITTÄMISEN ESTÄMINEN VAALIVAIKUTTAMINEN SAAVUTETTAVUUSDIREKTIIVI & easiointi 2
HE 60 / 2018 vp Hallituksen esitys eduskunnalle laeiksi digitaalisten palvelujen tarjoamisesta sekä sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta Lakiehdotukset ; Laki digitaalisten palvelujen tarjoamisesta 2 luku Viranomaisten digitaalisten palvelujen järjestäminen yleisölle 6 Palvelun käyttäjän sähköinen tunnistaminen Viranomainen voi vaatia digitaalisessa palvelussa käyttäjältä sähköistä tunnistamista vain, jos se on tarpeen palvelun tai sen tietosisältöön liittyvien käyttöoikeuksien varmistamiseksi tai palvelussa tehtävään toimeen liittyvien oikeusvaikutusten vuoksi. Jos digitaalisesta palvelusta on mahdollista saada salassa pidettäviä tietosisältöjä nähtäväksi ja käytettäväksi, palvelun käyttäjä on tunnistettava hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain 3 :n 4 kohdassa tarkoitettua luonnollisen henkilön tunnistuspalvelua, vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 2 :n 1 momentin 1 kohdassa tarkoitettua vahvaa sähköistä tunnistamista tai painavasta perustellusta syystä muuta vastaavaa tietoturvallista tunnistuspalvelua käyttämällä. 3
HE 60 / 2018 vp Hallituksen esitys eduskunnalle laeiksi digitaalisten palvelujen tarjoamisesta sekä sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta Yksityiskohtaiset perustelut 2 luku Viranomaisten digitaalisten palvelujen järjestäminen yleisölle 4 Digitaalisten palvelujen suunnittelu ja ylläpito Osoitusvelvollisuus rinnastuu Euroopan unionin yleiseen tietosuoja-asetukseen (EU) 2016/679, jonka 5 (2) artiklan mukaan rekisterinpitäjä on pystyttävä osoittamaan se, että henkilötietojen käsittelyä koskevia perusperiaatteita, kuten tietojen eheyden ja luottamuksellisuuden varmistamista koskevia vaatimuksia, on noudatettu rekisterinpitäjän toiminnassa. 4
- miltä tietosuojauudistus näyttää TSV:lle - mitä opimme 0) tarpeelliselta samaan aikaan: - Snowden, Cambridge Analytica, FB jne = DEMOKRATIA 5
Vireilletulleet asiat v. 2017: Vireilletulleet asiat v. 2018: (13.12.2018 mennessä) 3956 kpl 9130 kpl DBN:t 2065 Rajatylittävät asiat 558 tietosuojavastaavailmoitukset 1350 RTBF 300 Eduskuntakuulemiset 91 6
1) Toimialaselvityksiä valmiuksista 2) Lainsäädäntötyö kansalliset lait 3) Sisäinen oppimisprojekti 4) Resurssointi & rekrytointi 7
5) EDPB:n perustaminen 6) Viestintä & sidosryhmäyhteistyö 7) Komission sitoutuminen 8) Transatlanttiset suhteet * TSA 3 artikla: Asetuksen alueellinen soveltamisala 8
EDPB alatyöryhmät: Cooperation SG Enforcement SG BTLE SG FM SG Key Provision ITS Tech SG egovernment SG (seurataan) Fining TF Social Media SG FOP Future of Privacy Communication Network 9
9) Direktiivi jäi taka-alalle 10) Viimeisten päivien e-mail rumba 11) Erityislakien päivitys käyntiin SOTE! tekoäly normien purku 12) Tiivis pohjoismainen yhteistyö 10
13) TSV:n seuranta viikottain 14) Vaikutusten arviointi auki: * komissio 15) Syksyllä: - strategiat, liikeidea, organisaatio 11
12
TILINTEKOKYKYISYYS Pystytkö osoittamaan, että olet dokumentoinut: 1. Milloin organisaatiosi on rekisterinpitäjä ja milloin käsittelijä OSITTAIN 1/4 EI EMME TIEDÄ 2. Että seloste käsittelytoimista on laadittu 3. Sen miten tietosuojaperiaatteet toteutuvat organisaatiosi toiminnassa 4. Missä tietojärjestelmissä käsittelette henkilötietoja ja mitä henkilötietoja organisaatiollasi on
Pystytkö osoittamaan, että olet dokumentoinut: 2/4 5. Noudattamasi informointikäytännöt OSITTAIN EI EMME TIEDÄ 6. Henkilötietojen käsittelyn oikeusperusteet 7. Tarvittavat sisäiset ja ulkoiset ohjeet - riskiarvio - tekniset ja organisatoriset suojaustoimet - rekisteröityjen oikeuksien toteuttamisesta - henkilöstölle ja muille käsittelijöille - sisäisistä tarkastuksista ja auditoinneista
Pystytkö osoittamaan, että olet dokumentoinut: 3/4 8. Tarvittaessa suorittamasi vaikutustenarvioinnin & ennakkokuulemiset OSITTAIN EI EMME TIEDÄ 9. DBN-prosessin 10. TIETOSUOJAVASTAAVAA koskevat asiat 11. Että sopimushallintosi on kunnossa 12. Yhteisrekisterinpitäjyyttä koskevat vastuualueet
Pystytkö osoittamaan, että olet dokumentoinut: 4/4 13. Henkilötietojen 3. maihin tapahtuvat siirrot OSITTAIN EI EMME TIEDÄ 14. Että olet kouluttanut itsesi ja henkilöstösi 15. Sen, miten edellä olevat kohdat muuttuvat toiminnaksi ja kulttuuriksi organisaatiossasi
KIITOS KUUNTELUSTA! Tietosuojavaltuutettu Reijo Aarnio 17